本記事の概要
トレンドマイクロ社のウイルス対策ソフト(ApexOne)にて実行するアプリケーションを制御する機能であるアプリケーションコントロールの設定方法、ログ確認方法、ホワイトリスト登録方法を記載します。
本記事は事前にApexOneの管理コンソールが構築されていること、ApexOneエージェントがクライアントにインストールされていることが前提となります。
もし前提条件を満たしていない場合は、「Trend Micro Apex OneのSaaS体験版の構築」の記事の手順を実施してから本記事の手順を実施してください。
本記事では、以下の手順を記載します。
(1) アプリケーションコントロールの設定
(2) アプリケーションコントロールのログ確認方法
(3) アプリケーションコントロールのホワイトリスト登録
(4) アプリケーションコントロールのホワイトリスト登録(別手段)
※画面や記載している手順は記事を作成した時点(2023年11月23日)のものですので、画面などが変わっている可能性があります。
Trend Micro Apex Oneのアプリケーションコントロールの設定
アプリケーションコントロールを設定する方法を記載します。
(1) ブラウザを起動して、「https://sjsper.manage.trendmicro.com/WebApp/Login.aspx」にアクセスします。ユーザ名とパスワードを入力して、「ログイン」をクリックします。 
(2) 「後でもう一度確認する」をクリックします。
(3) [ポリシー]-[ポリシーリソース]-[アプリケーションコントロールの条件]をクリックします。
(4) 適用するポリシーを設定します。デフォルトポリシーを変更する場合と新規にポリシーを作成する場合を分けて記載します。
【デフォルトポリシーを変更する場合】
(a) 変更するポリシーの条件名をクリックします。
(b) 以下の内容を設定して、「保存」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| 名前 | 任意のポリシー名 |
| モード | ブロックせずログのみ出力して監視する場合はチェックを付けます。 ブロックする場合はチェックを外します。 |
| 照合方法 | 「悪用されるリスクのソフトウェアリスト」を設定します。 |
| アプリケーション | ブロック/監視するアプリケーションにチェックを付けます。 |
【新規にポリシーを追加】
(a) [条件の追加]-[ブロック]をクリックします。
(b) 以下の内容を設定します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | 任意のポリシー名 |
| モード | ブロックせずログのみ出力して監視する場合はチェックを付けます。 ブロックする場合はチェックを外します。 |
| 照合方法 | 「アプリケーションレピュテーションリスト」を設定します。 |
(c) ブロック/監視するアプリケーションにチェックを付けます。その後、「保存」をクリックします。
(d) 作成したポリシーが表示されていることを確認します。
(5) [ポリシー]ー[ポリシー管理]をクリックして、「ポリシーの作成方法」のポップアップを「閉じる」をクリックします。
(6) 「作成」をクリックします。
(7) 「対象」にチェックを付けて、「対象の管理」をクリックします。
(8) アプリケーションコントロールにて制御する機器にチェックを付けて、「選択したフォルダのすべてを追加」をクリックします。その後、「OK」をクリックします。
(9) 「対象」の数値が上記(8)でチェックを付けた機器数になっていることを確認します。
(10) サブの[高度な脅威に対する保護]-[アプリケーションコンロトール]をクリックします。その後、「アプリケーションコントロールを有効にする」にチェックを付けて、「ルールの割り当て」をクリックします。
(11) 上記(4)で設定したポリシーを「選択した条件」に移動して、「OK」をクリックします。
(12) 以下の内容を設定して、「配信」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| アプリケーションコントロールによる処理 | 「ロックダウン」 |
| トレンドマイクロの信頼済みベンダーのアプリケーションを除外 | チェックを付けます。 |
| 診断モードを有効にする | ブロックせずログのみ出力して監視する場合はチェックを付けます。 ブロックする場合はチェックを外します。 |
| アプリケーションがブロックされたときに通知を表示 | ブロックした際にエージェント側でポップアップを表示される場合はチェックを付けます。 エージェント側でポップアップを表示させない場合はチェックを付けません。 |
| ログの最大保存期間(日数) | 任意のログの保存期間 |
(13) 作成したポリシーが表示されていることを確認します。
アプリケーションコントロールのログ確認方法
アプリケーションコンロトール機能にて、監視/ブロックのアプリケーションが実行された場合Trend Micro Apex Centralの管理画面でログを確認することができます。
ログの確認方法を記載します。
(1) [ログ]-[ログクエリ]をクリックします。 
(2) 以下の検索条件を設定して、「検索」をクリックします。
・ログの種類:アプリケーションコントロール
・対象:すべての製品
・表示するログの期間:過去30日間
(3) アプリケーションコントロール機能にて、監視/ブロックされたアプリケーションの一覧が表示されます。
アプリケーションコントロールのホワイトリスト登録
アプリケーションコントロール機能で監視/ブロックされたくないアプリケーションがある場合、事前にホワイトリスト登録をすることで、監視/ブロックがされなくなります。
誤検知で監視/ブロックされたプログラムがある場合に本手順を実施します。
(1) [ポリシーリソース]-[アプリケーションコントロールの条件]をクリックします。 
(2) 以下の内容を設定して、「保存」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| 名前 | 任意のポリシー名 |
| 実行権限 | アプリケーションに外部プロセスの実行を許可する |
| 開始方法 | ハッシュ値 |
| 入力方式 | 手動 |
| ハッシュ値 | 「SHA-256」にチェックを付けます。 許可するプログラムの「ハッシュ値(※)」と「説明」をそれぞれ設定します。 ※以下のコマンドを実行するとSHA-256のハッシュ値を確認できます。 【WindowsのPowerShell】 Get-FileHash [ファイル名] -Algorithm SHA256 【Windowsのコマンドプロンプト】 certUtil -hashfile [ファイル名] SHA256 【Linux】 sha256sum [ファイル名] |
(3) 作成したポリシーが表示されていることを確認します。
(4) [ポリシー]-[ポリシー管理]をクリックして、ホワイトリストを適用するポリシーをクリックします。
(5) 左部の「アプリケーション」をクリックして、「ルールの割り当て」をクリックします。
(6) 上記(2)にて作成したホワイトリストのポリシーを「選択した条件」に移動して、「OK」をクリックします。
(7) ユーザ定義ルールの適用済み条件が「ブロックの条件 1、許可の条件 1」になっていることを確認します。その後、「配信」をクリックします。
(8) 設定したポリシーが表示されていることを確認します。
アプリケーションコントロールのホワイトリスト登録(別手段)
アプリケーションコントロールのホワイトリストを登録する方法がもう一つありますので、その設定方法を記載します。
(1) [ポリシー]-[ポリシー管理]をクリックして、ホワイトリストを設定するポリシーをクリックします。 
(2) 左部の[除外]-[信頼済みプログラムリスト]をクリックします。その後、ホワイトリスト登録するプロフラムを入力して、「追加」をクリックします。
(3) 追加したプログラムが設定されていることを確認して、「配信」をクリックします。
(4) 設定したポリシーが表示されていることを確認します。
